การจัดทาระบบบริหารความเสีย่ งระบบ
ข้อมูลและสารสนเทศ
Outlines
•
•
•
•
•
Risk
Risk management frameworks
COSO risk management framework
Information risk
Information risk management
การบริหารความเสี่ยง (Risk Management)
ความเสี่ ยง (Risk) คือ ปัจจัยที่มีผลกระทบต่อการบรรลุวตั ถุประสงค์
และเป้ าหมายขององค์กร ***
ปัจจัยเสี่ยง (Risk Factor) ต้นเหตุทม่ี าของความเสีย่ ง โดยต้องระบุได้
ด้วยว่าเหตุการณ์นนั ้ จะเกิดทีไ่ หน เมือ่ ใด และเกิดขึน้ ได้อย่างไร และทาไม
การบริหารความเสี่ยง คือกระบวนการทีใ่ ช้ในการระบุความเสีย่ ง การวิเคราะห์ความ
เสีย่ ง และการกาหนดแนวทางการควบคุม เพือ่ ป้องกันหรือลดความเสีย่ ง
*** http://www.opdcacademy.com/moi/images/stories/docs/paper310.pdf
การบริหารความเสี่ยง (Risk Management)
การประเมินความเสี่ยง (Risk Analysis)
คือการประเมินการปฏิบตั งิ านในภาพรวมของหน่วยงาน เพือ่ ให้ทราบ
เหตุการณ์ของความเสีย่ ง และหาทางแก้ไข ควบคุมให้ความเสีย่ งอยู่ในระดับ
ทีเ่ กิดความเสียหายน้อยทีส่ ดุ
การควบคุมความเสี่ยง (Risk Control) แนวทางหรือขัน้ ตอน
ปฏิบตั ติ ่างๆ เพือ่ ลดความเสีย่ ง และทาให้การดาเนินการบรรลุวตั ถุประสงค์
การควบคุมเพือ่ การป้องกัน
การควบคุมเพือ่ ให้ตรวจสอบ
การควบคุมโดยการชีแ้ นะ
การควบคุมเพือ่ การแก้ไข
Risk management frameworks
• Provide balance:
– enable the organization to move forward
– achieve its goals whilst ensuring that information risk issues
receive appropriate attention
• Set the direction:
– provide the vehicle by which directors
• articulate the organization’s information risk objectives
• set the risk management principles and policy to be followed by all staff
• Maintain the course:
– enable directors, through effective reporting arrangements, to
• verify that directives are being followed
• information risks are being appropriately mitigated
Risk management frameworks
• Risk management frameworks : establish
– Scope.
• Identify the nature of the organization’s information assets
• The stakeholders (specific and general) who have an interest in how the
organization uses and safeguards those assets
– Ownership.
• Identify who owns the different types of information
– Some information will be owned by customers, or
– by the person about whom the information relates, or
– by third parties providing the information as part of fulfilling a service
– Risk tolerance.
• Document the organization’s information risk objectives, and its
tolerance for information risk
• This will dictate the priority afforded to information risk mitigation in
comparison with other types of risk.
Risk management frameworks
• Risk management frameworks : establish
– Setting direction.
• Describe the means by which directors set the information risk
principles and policy to be followed by all staff
– Allocation of accountability.
• Specify how accountability for the use and protection of information
is allocated
• Risk management accountability will follow operational
accountability, i.e.
– those in control of the organization’s operations are accountable both for the
uses made of information within those operations and for the safeguarding
of that information
– Each person should be held accountable for the actions they as individuals
perform on information, and for not using information illegally.
Risk management frameworks
• Risk management frameworks : establish
– Delegated authority.
• Describe the processes by which decisions affecting the use and
protection of information are to
– be made,
– be monitored and
– reviewed
– Allocation of responsibility.
• Define the responsibilities needed to ensure information is properly
safeguarded
– Reporting and assurance.
• Define the reporting and assurance arrangements
– ensure that their mandates and policies are being followed correctly
– information control and protection obligations are being fulfilled
Information
Governance
Frameworks
Governance Frameworks
COSO
CEO
CobiT
COSO
CIO
Financial
reporting
function
ISO 27000
ITIL
family
Specific IT
function
IT security
function
Security Guidelines Governance Frameworks
Governance Frameworks
• CobiT (Control Objectives for Information
and Related Technology)
– is a framework created by ISACA ( Information
Systems Audit and Control
Association ) for information technology (IT)
management and IT governance
– focuses specially on controlling the entire IT function
– defines a set of generic processes for the management
of IT
– Dominance in the United States
Governance Frameworks
• ISO/IEC 27000 family of standards specially
addresses IT security
– a family of ISO/IEC Information Security
Management Systems (ISMS) standards,
– explains the purpose of an Information Security
Management System
– used to manage information security risks and
controls within an organization
• พระราชกฤษฎีกา ว่าด้วยวิธกี ารแบบปลอดภัยในการทาธุรกรรมทาง
อิเล็กทรอนิกส์ พ.ศ. ๒๕๕๓
Governance Frameworks
• ISO/IEC 27000 family of standards
– Eleven areas
•
•
•
•
•
•
•
Security policy
Organization of information security
Asset management
Human resources security
Physical and environmental security
Communication and operations management
Assess control
Governance Frameworks
• ISO/IEC 27000 family of standards
– Eleven areas
• Information system acquisition, development, and
maintenance
• Information security incident management
• Business continuity management
• compliance
Governance Frameworks
• ITIL : Information Technology
Infrastructure Library
– a set of practices for IT service management (ITSM)
(financial)
– focuses on aligning IT services with the needs of
business
– describes processes, procedures, tasks and
checklists that are not organization-specific,
• used by an organization for establishing integration with
the organization's strategy
COSO
• The Committee of Sponsoring Organizations of the
Treadway Commission (COSO)
• A joint initiative of 5 private sector organizations
– American Accounting Association (http://aaahq.org/)
– American Institute of CPAs
(http://www.aicpa.org/Pages/default.aspx)
– Financial Executives International
(http://www.financialexecutives.org/KenticoCMS/home.asp
x)
– The Association of Accountants and Financial Professionals
in Business (http://www.imanet.org/ima_home.aspx)
– The Institute of Internal Auditors
(https://na.theiia.org/Pages/IIAHome.aspx)
COSO
• Objective :
– to providing thought leadership through the
development of frameworks and guidance on enterprise
risk management, internal control and fraud
deterrence.
• Report of the National Commission on Fraudulent Financial
Reporting (1987)
• Internal Control Issues in Derivatives Usage (1996)
• Internal Control over Financial Reporting — Guidance for
Smaller Public Companies (2006)
• Enterprise Risk Management — Integrated Framework (2004)
• Internal Control — Integrated Framework (2013)
COSO Risk Management Framework
http://www.coso.org/documents/COSO%20McNallyTran
sition%20Article-Final%20COSO%20Version%20Proof_531-13.pdf
COSO Risk Management Framework
Strategic objectives – กาหนดวัตถุประสงค์เชิงกลยุทธ์ขององค์กร
 เป้าหมายของการประสบความสาเร็จ
Operational objectives – effective and efficient use
of resources
Reporting objectives – reliable internal and external
reporting
Compliance objectives – conformance with
applicable laws and regulations
COSO Risk Management Framework
7. assignment
of authority &
responsibility
6. commitment
to competence
5. integrity
and ethical
values
1. risk
management
philosophy
2. risk
appetite
3. board of
directors
4. organization
structure
COSO Risk Management Framework
The process of establishing strategic goals for an
entity.
ตัวอย่าง
การเดินทางไป กทม.
ไปอย่างไร
ไปถึงเมือ่ ไหร่
จะทาอย่างไรหากเกิด
ปญั หา ต่างๆ
The achievement of strategic goals necessitates
development of operational, reporting, and
compliance objectives.
Objectives are set taking into consideration the risk
tolerance and risk appetite of the entity.
COSO Risk Management Framework
Determines which events may affect an
entity and whether these events
represent opportunities or risks to the
achievement of objectives.
Opportunities factor into setting
the strategic objectives.
Risks require management
attention for assessment and
response.
ระบุวา่ มีความเสีย่ ง
อะไรบ้าง
แนวทางในการระบุ
ความเสีย่ ง
มองโลกในแง่รา้ ย !!!
•จากเป้าประสงค์ เป้าหมายทีต่ อ้ งการบรรลุ
•พิจารณาพันธกิจ บทบาทหน้าทีง่ าน
COSO Risk Management Framework
Occurs when management evaluates the
potential impact of specific risks on the
entity.
There are two dimensions that are
considered using qualitative and
quantitative analysis:
Likelihood (probability)
Impact (amount)
COSO Risk Management Framework
Extreme
Impact
High
Medium
Low
Negligible
Remote
0-10%
unlikely
10-25%
possible probable certain
25-50% 50-90% 90-100%
Likelihood
ความเสีย่ งแต่ละประเภท มีระดับความรุนแรงและโอกาสในการเกิดทีแ่ ตกต่างกัน
การบริหารจัดการความเสีย่ งนัน้ ไม่ตอ้ งดาเนินการทุกประการ
เลือกใช้เทคนิคการวิเคราะห์ความเสีย่ งทีเ่ หมาะสม บางครัง้ ไม่จาเป็ นต้อง
วิเคราะห์ในรูปตัวเลข แต่อาจวิเคราะห์ออกมาเป็ นระดับต่าง ๆ เช่น สาคัญมาก
ปานกลาง หรือ น้อย เป็ นต้น
โอกาสทีจ่ ะเกิด
(Likelihood)
ผลกระทบ
(Impact)
Probability, Opportunity
พิจารณาว่าปจั จัยเสีย่ งทีไ่ ด้เรียงลาดับความสาคัญไว้แล้วนัน้
มีโอกาสเกิดขึน้ ในระดับไหน (น้อย ปานกลาง มาก )
Severity, seriousness
นาปจั จัยเสีย่ งแต่ละปจั จัยมาพิจารณาว่า หากเกิดขึน้ แล้วมี
ผลกระทบต่อหน่วยงานมากน้อยแค่ไหน (อาจจะวัดเป็ นระดับ
น้อย ปานกลาง สูง หรือ กาหนดเป็ นตัวเลขก็ได้ หากกาหนด
ได้)
ตัวอย่างเกณฑ์การประเมินความเสี่ยง
โอกาสทีจ่ ะเกิดเหตุการณ์
โอกาสที่จะเกิดความเสี่ยง
ความถี่โดยเฉลี่ย
น่าจะเกิดได้มากทีส่ ดุ หรือเกิดประจา (certain, เกิดได้ทกุ วัน หรือ เดือนละ
extremely likely)
หลายครัง้
คะแนน
5
น่าจะเกิดได้ หรือบ่อยครัง้ (probable, likely)
เป็ นไปได้ หรือ เกิดขึน้ บ้าง (Possible)
ไม่น่าจะเกิดขึน้ ได้ หรือเกิดได้น้อย (Unlikely)
ยากทีจ่ ะเกิดขึน้ (remote, rare)
4
3
2
1
อาจจะเกิดได้เดือนละครัง้
1 ครัง้ ต่อปี
2-3 ปีต่อครัง้
5 ปี ต่อครัง้
ตัวอย่างเกณฑ์การประเมินความเสี่ยง
กาหนดเกณฑ์ความเสีย่ งแบบต่อเนื่อง (Consequence Ranking)
Level
1
Description
ด้านการเงิน
ด้านความปลอดภัย
Low financial loss
No injuries
เล็กน้อย
Medium financial
loss
First aid treatment, on-site release
immediately contained
3
Moderate
High financial loss
Medium treatment required, on-site
release contained with outside
assistance
4
Major
มาก
Major financial loss Extensive required, off-side release
with no detrimental effects
5
Catastrophic
Huge financial loss
Insignificant
ไม่มผี ล
2
Minor
ปานกลาง
สูงมาก
Death, toxic release, off-side with
detrimental effects (เป็ นอันตราย)
ตัวอย่างเกณฑ์การประเมินความเสี่ยง
กาหนดเป็ นเกรดในการประเมินความเสีย่ ง
Grade: Combined effect of Likelihood/Seriousness
seriousness
Likelihood
Low
Medium
High
Low
E
D
C
Medium
D
C
B
High
C
B
A
extreme
A
A
A
COSO Risk Management Framework
Avoidance. Exiting or divesting of
the activities giving rise to the risk
Reduction. Actions are taken to
reduce risk by for example,
implementing controls
Sharing. Actions are taken to transfer or share
risk for example by: purchasing insurance,
engaging in hedging, or outsourcing an activity
Acceptance. No action is taken and the entity accepts
the risk rather than deploy resources to address
COSO Risk Management Framework
Extreme
Impact
High
Medium
Low
Negligible
Remote
0-10%
unlikely
10-25%
possible probable certain
25-50% 50-90% 90-100%
Likelihood
การจัดการกับความเสี่ยง
Risk avoidance
หลีกเลีย่ งจากความเสีย่ ง
Risk mitigation การ
หาแนวทางในการลดระดับความ
รุนแรงของความเสีย่ ง เมือ่ เกิดขึน้
ตัดสินใจว่าจะ
ทาอย่างไรกับ
ความเสีย่ ง แต่
ละประเภท
Risk transfer
โอนความเสีย่ ง เช่นการซือ้
ประกัน
Risk reduction ลดโอกาสทีจ่ ะ
เกิดความเสีย่ ง โดยการกระทาบางอย่าง
ก่อน เพือ่ ให้โอกาสทีจ่ ะเกิดความเสีย่ ง
น้อยลง
Risk acceptance ยอมรับ
ความเสีย่ งนัน้ ถึงแม้วา่ ความเสีย่ งจะ
เกิดขึน้ และไม่ทาอะไรก่อนทีค่ วามเสีย่ งจะ
เกิด
COSO Risk Management Framework
•The policies and procedures that
- help ensure the risk responses are carried out, and
- are most often associated with risk reduction strategies
•Occur at all levels and in all functions throughout the
organization
Inherent risk = the total amount of
the risk in the absence of any
management actions.
Residual risk = amount of risk left
over after management takes actions
to alter either the likelihood or the
impact of a risk.
Control activities
Preventive
Detective
Manual
Automated
Entity level
Process level.
COSO Risk Management Framework
Information must embody these
characteristics:
•Appropriate and at the right level of detail
•Available when needed
•Timely, current, and recent
•Accurate and reliable
•Accessible to those who need it
Communication streams
must be established for
efficient delivery of
information
•top down
• bottom up
• across the organization
•between internal and external
stakeholders ( suppliers and customers)
COSO Risk Management Framework
Change !!
Change !!
The assessment of the ERM continuously
• to ensure it continues to function as
designed and is effective
Monitoring activities
• done by internal auditors
• any deficiencies are reported to
• the appropriate level of
management, or
• the board
•depending on the severity.
COSO 2013 Framework
สรุ ปขัน้ ตอนในการบริหารความเสี่ยง
กาหนดวัตถุประสงค์
(Objective setting)
ระบุความเสีย่ ง
(Risk identification)
ประเมินความเสีย่ ง
การตรวจสอบ ทวนสอบ
(Risk assessment)
(Monitoring &
Review)
ตอบสนองต่อความเสีย่ ง
(Risk response)
การให้ขอ้ มูลและการสือ่ สาร
(Information &
communication)
กิจกรรมควบคุม (Control
activities)
References
•
•
•
•
•
http://www.etcommission.go.th/law.html
http://www.coso.org/
http://standards.iso.org/ittf/licence.html
http://www.itil-officialsite.com/home/home.asp
http://www.isaca.org/KnowledgeCenter/COBIT/Pages/Overview.aspx
• http://www.financelearningacademy.com/riskman
agement.html